Autorisation dans l'action cs_vcf_telecharger
L'action action_ics_vcf_telecharger()
appelle une autrorisation au nom très (trop ?) générique, autoriser('telecharger')
, qui n'est pas définie dans le fichier bcd_autorisations.php
Il y a une autorisation autoriser_auteur_exportervcard_dist. Cette autorisation part du principe qu'il s'agit de la carte vcf d'un auteur. Elle est appelée par le pipeline boite_infos() dans le bvd_pipelines.php
.
Dès lors,
-
soit l'on déclare une autorisation autoriser_telecharger() qui par défaut appelera
autoriser('exportervcard','auteur')
-
soit on retire l'autorisation dans l'action, en considérant que l'action est sécurisée et doit préalablement faire l'objet d'une verification d'autorisation de l'auteur qui l'appelle.
Je plaide pour cette dernière solution, c'est-à-dire le retrait d'autoriser('telecharger')
. Cette autorisation est trop générique et peut générer des conflits ; si elle est conservée et déclinée par défaut comme un appel d'autoriser('exportervcard','auteur')
on aura une double vérification en amont de l'action (pipeline précité) et lors de l'action ce qui est inutile.